|
ru.internet.business
- RU.INTERNET.BUSINESS ---------------------------------------------------------
From : Dmitry V. Liseev 2:5020/400 24 Aug 2000 21:19:01
To : All
Subject : Re: В пpодолжении вопpоса о меpчантах: как yбеpечься от каpжбека?
--------------------------------------------------------------------------------
"Alexey Vladimirov" <Alexey.Vladimirov@f99.n5100.z2.fidonet.org> wrote in
message news:967030663@f99.n5100.z2.fidonet.ftn...
Hi!
> Вот здесь ты заблуждаешься. Все средства для поддержки цифровой подписи
> давно
> уже имеются и в MSIE, и в NN. Пользователю ничего менять не надо, ему лишь
> надо
> получить персональный сертификат, например в thawte. Магазин также должен
> получить сертификат у того же thawte, а все сессии должны проходить в
> режиме
Проблема в механизме получения сертификата. Для этого я
должен явиться в сертифицирующий орган с паспортом, чтобы
доказать, что я - это я. Либо передать ключ через цепочку
доверенных лиц, которым доверяю я и доверяет орган
сертификации. В противном случае это все несерьезно.
> SSL. При этом магазин проверяет сертификат клиента, а клиент - сертификат
> магазина (это делается абсолютно прозрачно для клиента) и на его основе
> принимает соответствующие решения.
Hе так просто проверить сертификат магазина и убедится,
что это именно тот магазин, который мне нужен. Это
в реальности сложно представить, что я однажды
утром прихожу в ГУМ, а вместо него другой магазин
стоит, а в Интернете перероутить трафик или на ближайший
DNS наехать - дело доли секунды. И следов никаких.
Hа самом деле имеет смысл смотаться в этот магазин лично,
потребовать у них лицензию, и убедившись, что все в порядке,
взять компакт-диск с ключами. Если я захожу на сайт, который
я впервые вижу, о какой проверке сертификата идет речь?
Вчера этого магазина здесь небыло, и завтра, возможно уже
не будет. Я хочу пощупать кирпичи, из которых построен этот
магазин.
> Hапример, клиент заходит на сайт, а ему в ответ:
>
> "Здравствуйте, Иван Сидорович, мы рады видеть Вас снова. Последний раз Вы
> заходили к нам 32 мартобря, приобрели сепульки на сумму $350.24. С того
> времени
> мы получили следующие новые приспособления для сепуления:
> - сепульки одноразовые - $20.00
:)))
Типичное мнение специалистов по эхотагу. Заставить покупателя
расстаться со своими деньгами одним нажатием кнопки. А вот те
компании, которые предлагают действительно реальные и надежные
решения, регулярно разоряются, т.к. эти реальные решения заставляют
пользователя нажать на пару кнопок больше и приобрести специальный
софт и оборудование для чтения смарт-карт. А это не выгодно именно
магазинам, т.к. резко снижает число потенциальных клиентов. Куда
проще повесить рекламный плакат: "У нас все надежно, как в танке,
нажмите enter, и все произойдет само", чем сказать, что для работы
с магазином _обязательно_ нужно получить сертификат, купить софт,
оборудование и т.д. Взять хотя бы тот-же DigiCash. Идеи замечательные,
но где он теперь? Если магазин мне сообщает: "Здравствуйте, вчера
вы купили у нас 10 упаковок средства от импотенции, какие у вас
проблемы на этот раз?", то заходить туда пропадает желание, т.к.
в понятие безопасности входит еще и приватность.
> При этом клиент не вводил никаких персональных данных, просто зашел на
> сайт.
> Частично этого эффекта можно достичь при помощи cookies, однако для
> аутентификации клиента их использовать нельзя, их легко подделать. А вот
> цифровую подпись подделать не получится.
Ее не нужно подделывать. Ее можно заменить, выдав одного
клиента за другого и один магазин за другой. Организовать
липовый магазин ничего не стоит.
____________________________
С уважением, Лисеев Дмитрий.
http://private.peterlink.ru/dimik/
PGP key fingerprint: 09 28 74 28 6C 39 62 29 2E CB 95 03 4F 04 33 73
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
